Gå til innhold

Lov&Data

4/2024: Artikler
17/12/2024

DPIA og FRIA – Når inntrer plikten til å gjennomføre vurderingene og hvordan samspiller regelsettene?

Av Torben Aronsen Manndal, advokatfullmektig ved LAG advokat AS.

1. Innledning

I dagens digitale samfunn har bruk av kunstig intelligens blitt stadig mer fremtredende og relevant på tvers av ulike sektorer og bransjer. Den økende bruken av kunstig intelligens skyldes dens allsidige anvendelser og potensial til å transformere hvordan vi jobber, kommuniserer og lever.

Bruk av kunstig intelligens medfører likevel en betydelig risiko for fysiske personer.(1)De Gregorio og Dunn (2022) s. 489. EU har sett problemstillingen, og har de siste årene jobbet med verdens første regulering av kunstig intelligens. Resultatet av dette arbeidet er AI ACT, som trådte i kraft 1. august 2024.(2)The AI Act Explorer (Tilgjengelig her: https://artificialintelligenceact.eu/ai-act-explorer/) (sist endret 13. juni) (sist lest 30. november) Bestemmelsene vil gradvis inntre de neste årene.(3) EU Artificial Intelligence Act, Implementation Timeline (Tilgjengelig her: https://artificialintelligenceact.eu/implementation-timeline/) (sist endret 1. August 2024) (sist lest 30. november 2024).

Dersom en aktør benytter et KI-system ved behandling av personopplysninger innenfor EUs grenser eller behandler personopplysningene til personer bosatt innenfor EU må dessuten bestemmelsene i personvernforordningen (GDPR) etterfølges. En av de viktigste bestemmelsene i GDPR er plikten til å gjennomføre en vurdering av personvernkonsekvenser (DPIA) forut for en planlagt behandling.(4)GDPR art. 35.Dette vil være særlig viktig hvor behandlingen gjennomføres ved bruk av KI.

Illustrasjon: Colourbox.com

I min masteroppgave fra våren 2024 undersøkte jeg når den behandlingsansvarlige er forpliktet til å vurdere personvernkonsekvenser for fysiske personers rettigheter og friheter når behandlingen av personopplysninger gjennomføres ved bruk av kunstig intelligens. Oppgaven reiste to primære problemstillinger; når inntrer plikten, og hvordan er regelsettet harmonisert med AI Acts krav til å gjennomføre en forhåndsvurdering av fundamentale rettigheter ved førstegangs bruk av et høy risiko KI-system (FRIA).(5)AI Act art. 27.

Denne artikkelen vil oppsummere funnene i masteroppgaven, og tar sikte på å bistå aktører som etter GDPR og AI Act vil være forpliktet til å gjennomføre både DPIA og FRIA.

2. Pliktsubjekter

Etter GDPR er det den behandlingsansvarlige som er forpliktet til å gjennomføre en DPIA.(6)GDPR art. 4 nr. 7. Den behandlingsansvarlige er legaldefinert som den som bestemmer formålet med behandlingen og hvilke midler som skal benyttes, som blant annet at behandling skal skje ved bruk av kunstig intelligens.

Etter AI Act er tre nærmere angitte grupper av brukere (deployer) forpliktet til å gjennomføre en FRIA.(7)AI Act art. 3 nr. 4.Brukere er legaldefinert som enhver «natural or legal person, public authority, agency or other body using an AI system under its authority». De tre gruppene av brukere er offentligrettslige organer, private aktører som tilbyr tjenester av allmenn interesse, og brukere av systemer som angitt i AI Act Annex III nr. 5 bokstav b(8)KI-systemer som skal gjennomføre kredittvurderinger. og c.(9)KI-systemer som skal gjennomføre risiko- og prisvurderinger ved livs- og helseforsikringer.

3. DPIA og FRIAs funksjon i regelverkene

Personvernforordningens overordnende formål er å «sikre vern av fysiske personers rettigheter og friheter».(10)GDPR art. 1 nr. 2. Dette er gitt utslag i en rekke risikovurderinger i GDPR, herunder også plikten til å gjennomføre en vurdering av personvernkonsekvenser.

Hvor en vurdering av personvernkonsekvenser derimot skiller seg fra de øvrige risikovurderingene i personvernforordningen er at den potensielt kan forplikte den behandlingsansvarlige til å unnlate å gjennomføre den planlagte behandlingen.

Risikovurderingene i GDPR art. 24, 25 og 32 har tilnærmet identisk utforming, og det fremkommer at det skal gjennomføres «egnende tekniske og organisatoriske tiltak» etter en vurdering hvor det tas hensyn til behandlingens «art, omfang, formål og sammenhengen den utføres i, samt risikoene av varierende sannsynlighetsgrad». Det bestemmelsene har til felles er at risikonivået ved den konkrete behandlingen tilsier hvor omfattende de egnende tekniske og organisatoriske tiltakene som må gjennomføres er. Et høyt risikonivå tilsier således ikke at en behandling må avsluttes, men forplikter den behandlingsansvarlige til å gjennomføre mer omfattende tiltak for å på en tilstrekkelig måte oppnå den konkrete artikkelens formål.

Derimot fremkommer det av kravet til minsteinnholdet i en vurdering av personvernkonsekvenser at det skal gjennomføres en nødvendighets- og proporsjonalitetsvurdering.(11)GDPR art. 35 nr. 7 bokstav b. Dersom en behandling ikke er proporsjonal eller nødvendig sett i lys av dens tiltenkte formål kan den behandlingsansvarlige dermed bli forpliktet til å unnlate å gjennomføre behandlingen.

At det er inntatt et krav til vurdering av personvernkonsekvenser i forordningen kan følgelig anses som en erkjennelse fra lovgiver at risikovurderingene ikke nødvendigvis tilstrekkelig ivaretar fysiske personers rettigheter og friheter dersom det foreligger høy risiko ved en behandling. GDPR art. 35 funksjon i forordningen er dermed å fungere som en sikkerhetsventil for å ivareta fysiske personers rettigheter og friheter.

FRIA har en liknende funksjon i AI Act. Ettersom vurderingen beror på om «fundamental rights» blir påvirket fremstår det tydelig at bestemmelsens formål er å minimere potensielle skader på slike rettigheter som kan inntreffe ved bruk av KI-systemet. Dette vil gjøres i tillegg til arbeidet utvikleren har gjort for å minimere slike risikoer under utviklingen av systemet. En begrunnelse til at lovgiver har valgt å ta inn et krav om forhåndsvurdering i AI ACT kan være at det vil være utfordrende for utviklere å vurdere og implementere skadeforebyggende tiltak for alle potensielle risikoer et KI-system kan utgjøre for fundamentale rettigheter under utviklingsfasen. En FRIA vil dermed i praksis fungere som en sikkerhetsventil for de potensielle risikoene utvikler ikke har greid å ta stilling til i utviklingsfasen.

4. Når inntrer plikten til å gjennomføre en DPIA ved behandling av personopplysninger ved bruk av KI

For at plikten til å gjennomføre en DPIA skal inntre må to vilkår være oppfylt. Det må foreligge «høy risiko», og denne risikoen må gjelde fysiske personers «rettigheter og friheter».(12)Se GDPR art. 35 nr. 1.

Risiko er ikke definert i GDPR, men er anerkjent som en beskrivelse av et scenario og dets konsekvenser, hvor man tar hensyn til både sannsynlighet og skadeomfang.(13)Se blant annet GDPR fortalepunkt 75 og 76. Ordlyden «høy risiko» angir altså et krav om at alminnelig risiko ikke er tilstrekkelig for at vilkåret skal anses oppfylt, men at det kreves en mer omfattende risiko.

Heller ikke «rettigheter og friheter» er definert i forordningen. Ordlyden gir anvisning på et begrep som burde forstås vidt, men gir ingen pekepinn til hvilke rettigheter og friheter som vil være relevant. Det kan stilles spørsmål til hvorvidt ordlyden utelukkende omhandler forpliktelsene og prinsippene som er spesifisert i GDPR,(14)Se blant annet GDPR kapittel 2 og 3.eller om ordlyden er en henvisning til GDPRs formålsbestemmelse og dermed også rettighetene og frihetene som nedfelles i EU-pakten.(15)Se GDPR art. 1 nr. 1.Problemstillingen er ikke rettslig avklart.

Det finnes en rekke ulike KI-systemer, med varierende bruks- og virkeområder. I min masteroppgave undersøkte jeg hvilke nærmere aspekter og egenskaper ved ulike KI-systemer som ville medføre høy risiko for fysiske personers rettigheter og friheter når systemet behandler personopplysninger, og følgelig utløse plikten til å gjennomføre en DPIA. Det vil tas utgangspunkt i prinsippene som er nedfelt i GDPR art. 5, da de utgjør positive rettigheter som den registrerte kan påberope seg.

Generativ KI

Et velkjent problem ved bruk av kunstig intelligens er dets tendens til å hallusinere. Dette forstås som når KI-systemet genererer falskt eller meningsløst innhold og presenterer det som sannhet.(16)Se Feuerriegel mfl. (2024) s. 111. I en studie fra 2023 ble det undersøkt i hvilken grad fem utvalgte generative KI-systemer produserte hallusinerende innhold. Det mest presise systemet var ChatGPT-4, som hallusinerte i 6 % av tilfellene. Det minst presise systemet var TruthGPT, som hallusinerte i 77 % av tilfellene.(17)Se McIntosh mfl. (2023) s. 3.

Bruk av generativ KI i behandlinger av personopplysninger kan dermed utgjøre en risiko for brudd på prinsippet om riktighet,(18)Se GDPR art. 5 nr. 1 bokstav d. da også usann informasjon vil anses som personopplysninger.(19)Se Opinion 4/2007 on the Concept of Personal Data s. 6. Et eksempel på et slikt brudd på prinsippet om riktighet er når Metas chatbot BlenderBot hevdet at den nederlandske politikeren Maria Schaake var en terrorist.(20)Se Heikkilä (2022).

Fremskritt i det tekniske nivået vil redusere prosentandelen hallusinasjon,(21)Se McIntosh mfl. (2023) s. 3. Prosentandelen hallusinasjon ble redusert med 7 % i overgangen fra ChatGPT 3.5 til ChatGPT 4. og følgelig hvor regelmessig prinsippet om riktighet brytes ved behandlinger av personopplysninger ved bruk av generativ kunstig intelligens. Likevel vil disse fremskrittene muliggjøre at kunstig intelligens tas i bruk i behandlinger av større viktighet,(22)Se Hauglid og Mahler (2023) s. 3. Bruk av generative KI til blant annet diagnostiserings- og beslutningsstøtte for helsepersonell. hvor skadepotensialet ved behandling av personopplysninger øker.

Likevel vil disse fremskrittene muliggjøre at kunstig intelligens tas i bruk i behandlinger av større viktighet, hvor skadepotensialet ved behandling av personopplysninger øker.

Skjeve maskinlæringsalgoritmer

Et KI-system vil kun være like objektivt som sin utvikler. Gjennom utviklingsfasen til en maskinlæringsalgoritme vil det benyttes treningsdata, som for eksempel personopplysninger.

Treningsdataen vil gjenspeile utviklerens verdenssyn, og maskinlæringsalgoritmen blir således et produkt som viderefører utviklerens etablerte oppfatninger. Dersom utviklerens etablerte oppfatninger inkluderer fordommer eller stereotyper vil dette videreføres ved bruk.(23)Bala (2019) s. 263.Slike maskinlæringsalgoritmer kalles skjeve maskinlæringsalgoritmer. Et KI-system som består av slike maskinlæringsalgoritmer, vil være forutinntatt.(24)De Gregorio og Dunn (2022) s. 489.

Problematikken oppstår særlig dersom KI-systemer skal brukes til å ta beslutninger som tildeler eller fratar fysiske personer muligheter eller ressurser. Eksempler på dette er hvor KI-systemet skal bidra i ansettelsesprosesser eller avgjøre lånesøknader. Skjevhet i maskinlæringsalgoritmen kan medføre at fordelingen av muligheter eller ressurser primært tilfaller en gruppe, på bekostning av de resterende gruppene. Forutinntatt kunstig intelligens vil da videreføre skjevheten i treningsdataen under beslutningsprosessen, noe som kan resultere i forskjellsbehandling mellom individer. Et KI-system bestående av skjeve maskinlæringsalgoritmer som benyttes i beslutningstakningsprosesser vil medføre en høy risiko for brudd på prinsippet om rettferdighet i GDPR art. 5 nr. 1 bokstav a.

Kontinuerlig lærende KI-systemer

Prinsippet om formålsbegrensning utgjør primært en begrensning under utviklingen av KI-systemer. Prinsippet medfører at all dataen som samles inn under utviklingen må ha «spesifikke, uttrykkelige angitte og berettigede formål, og ikke viderebehandles på en måte som er uforenlig med disse formålene».(25)Se GDPR art. 5 nr. 1 bokstav b. For å oppnå ønsket prestasjonsnivå ved KI-systemet behøves det store mengder data.(26)Se Hauglid og Mikalsen (2022) s. 423. På grunn av den store mengden data som kreves, kan det være utfordrende for utviklerne å samle inn den nødvendige dataen uten å bryte prinsippet.

Dersom utviklerne likevel oppnår ferdigstillelse av KI-systemet uten å bryte med prinsippet vil faren være avverget. KI-system er da offline,(27)Vokinger mfl. (2022) s. 14. og maskinlæringsalgoritmen vil ikke endres ved bruk. Den vil da ikke lære av personopplysningene den blir presentert for, men utelukkende vurdere de opp mot formålet den er satt til. Det vil da heller ikke være noe fare for at prinsippet om formålsbegrensing brytes.

Det oppstår derimot en særegen problemstilling ved online KI-systemer,(28)Ibid. altså hvor maskinlæringsalgoritmen kontinuerlig lærer og forbedrer seg gjennom brukstiden. KI-systemet vil da være i bruk, men fortsatt utvikles. KI-systemets utvikling er direkte tilknyttet personopplysningene det mottar mens det brukes. Det vil således være vanskelig å forutse nøyaktig hva den konkrete maskinlæringsalgoritmen vil lære, og hvordan den vil utvikle seg.(29)Se Zemčík (2021) s. 362.

Slike KI-systemer kan tilegne evnen til å løse problemer det i utgangspunktet ikke var programmert til. Dette kan medføre at personopplysninger potensielt viderebehandles for formål som ikke er forenlig med det initiale formålet. Det kan dermed foreligge høy risiko for at kontinuerlig lærende KI-systemer vil bryte med prinsippet om formålsbegrensning.

«Svart boks» -maskinlæringsalgoritmer

Noen KI-systemer er så teknologiske avanserte at det oppstår et fenomen kalt «svart boks». Med dette menes mennesker vil ha vanskeligheter med å påvise hvordan systemet kom frem til en konkret avgjørelse.(30)Janiesch mfl. (2021) s. 688.

Ved behandling av personopplysninger ved bruk av «svarte boks» -maskinlæringsalgoritmer kan det være vanskelige å forstå og forklare hvordan KI-systemet tar beslutninger. Dersom den behandlingsansvarlige ikke kan beskrive hvordan KI-systemet kom frem til det konkrete svaret, kan det heller ikke påvises hvilke parametere maskinlæringsalgoritmen la vekt på i avgjørelsen. Slike avgjørelser vil ikke være forutsigbar eller oversiktlig for den registrerte.

Behandling av personopplysninger ved bruk av KI-systemer bestående av «svart boks» -maskinlæringsalgoritmer vil dermed utgjøre en høy risiko for brudd på prinsippet om åpenhet.(31)Se GDPR art. 5 nr. 1 bokstav a.Plikten til å vurdere personvernkonsekvenser vil følgelig inntre.

5. Når inntrer plikten til å gjennomføre FRIA?

Som nevnt ovenfor i punkt 2 er kun tre grupper brukere forpliktet til å gjennomføre en FRIA. Vilkårene for når plikten til å gjennomføre en FRIA inntrer følger av AI Act art. 27 nr. 1. Det første vilkåret er at KI-systemet som tas i bruk må være klassifisert som høy-risiko. Hvorvidt det konkrete KI-systemer er å anse som høy-risiko følger av AI Act art. 6. Det andre vilkåret er at brukeren av KI-systemet ikke har tatt det i bruk tidligere.

Etter at KI-systemet er tatt i bruk foreligger det dessuten en plikt til å gjenta vurderingen dersom den initiale vurderingen er utdatert eller ikke treffende.(32)Se AI Act art. 27 nr. 2.

6. Hvordan er regelsettene harmonisert?

Vilkår for inntredelse

Selv om det kan påstås at regelsettene har samme funksjon i sine respektive forordninger er vilkårene for når plikten til å gjennomføre DPIA og FRIA inntrer svært ulike. Dette har bakgrunn i forordningenes ulike risikotilnærming. Bestemmelsene i GDPR forutsetter at den behandlingsansvarlige mest presist kan vurdere risikoene ved de aktuelle behandlingene og hvilke tiltak som må gjennomføres for å redusere denne.(33)Se De Gregorio og Dunn (2022) s. 489. EU har derimot tatt motsatt risikotilnærming ved arbeidet med AI Act. Hvilke forpliktelser forordningen tillegger det aktuelle pliktsubjektet avhenger av hvordan risikokategori KI-systemet aktøren benytter seg av er plassert i.

Materielt innhold

GDPR art. 37 nr. 7 bokstav a–d fremstiller bare minstekravene til vurderingen av personvernkonsekvenser, og enkelte behandlinger vil dermed kreve mer omfattende vurderinger for å tilstrekkelig vurdere personvernkonsekvensene. Den behandlingsansvarlige er forpliktet til å minst beskrive de planlagte behandlingene og deres formål. Videre må det gjennomføres en nødvendighet- og forholdsmessighetsvurdering for behandlingen sett i forhold til dens formål. Deretter må risikoene for de registrertes friheter beskrives. Avslutningsvis må det beskrives hvilke planlagte tiltak som skal gjennomføres for å håndtere disse risikoene.(34)Se GDPR art. 35 nr. 7 bokstav a–d.

AI ACT art. 27 nr. 1 bokstav a–f fremstiller hvilke konkrete vurderinger som skal gjennomføres i en forhåndsvurdering. For det første må det inkludere en beskrivelse av prosessene ved bruk av høyrisiko KI-systemet i samsvar med dets tiltenkte formål. Videre må tidsperioden og hvor ofte systemet skal brukes beskrives. Deretter må det vurderes hvilke kategorier av fysiske personer og grupper som sannsynligvis vil bli påvirket ved den konkrete bruken, samt de spesifikke skaderisikoene det er sannsynlig vil påvirke de identifiserte personene eller gruppene. Videre må det beskrives hvilke tiltak det er tatt for å sørge for menneskelig tilsyn over systemet. Avsluttende må vurderingen inneholde tiltakene som skal gjennomføres dersom risikoene materialiserer seg, samt hvordan intern styring og klager skal håndteres.(35)Se AI Act art. 27 nr. 1 bokstav a–f.

Forordningenes ulike risikotilnærming medfører at brukeren etter AI Act er forpliktet til å gjennomføre mer detaljerte og omfattende vurderinger enn hva den behandlingsansvarlige er etter GDPR. Vurderingene som skal gjennomføres har likevel flere likheter.

Harmoniserende bestemmelse i AI Act art. 27 nr. 4

Som følge av disse likhetene har EU inntatt en bestemmelse som beskriver forholdet mellom DPIA og FRIA i AI Act art. 27 nr. 4.

Ordlyden lyder slik:

If any of the obligations laid down in this Article is already met through the data protection impact assessment conducted pursuant to Article 35 of Regulation (EU) 2016/679 (…), the fundamental rights impact assessment referred to in paragraph 1 of this Article shall complement that data protection impact assessment.

En naturlig språklig forståelse av ordlyden «complement» taler for at dersom en DPIA etter GDPR art. 35 nr. 1 har oppfylt «obligations» etter AI Act art. 27 så behøver ikke en FRIA å gjenta den konkrete forpliktelsen. Bestemmelsen er med andre ord ment å virke ressursbesparende for brukeren, ved at aktøren slipper å gjennomføre den samme vurderingen to ganger. For å klargjøre i hvilken grad regelsettene er harmonisert er det nødvendig å avgjøre innholdet av ordlyden «obligations».

En naturlig forståelse av ordlyden obligations vil være et ansvar for å gjennomføre en konkret handling. Oversatt til norsk vil dette være forpliktelser. Problemstillingen blir således å klarlegge omfanget av hver forpliktelsene som oppstilles i AI Act art. 27.

AI Act art. 27 nr. 1 pålegger brukeren til å gjennomføre en forhåndsvurdering av konsekvensene for fundamentale rettigheter, og presenterer seks nærmere presiserte vurderinger som inngår i denne helhetlige vurderingen. Videre pålegges brukeren å gjenta vurderingen dersom den ikke anses som presis etter KI-systemet er tatt i bruk.(36)Se AI Act art. 27 nr. 2.Brukeren pålegges dessuten å oversende resultatet av forhåndsvurderingen til den nasjonale tilsynsmyndigheten.(37)Se AI Act art. 27 nr. 3.Sistnevnte utgjør utvilsomt en separat forpliktelse.

Det oppstår dermed et spørsmål om de nærmere presiserte vurderingene som oppstilles i art. 27 nr. 1 bokstav a–f utgjør separate forpliktelser eller om de samlet utgjør en forpliktelse. Ordlyden i AI Act art. 27 nr. 4 isolert sett gir ingen veiledning for hvordan tolkningsalternativ som burde legges til grunn. Det fremkommer ingen avklaring fra fortalen, og det foreligger heller ingen avklaring i form av retningslinjer fra AI Office.(38)Se AI Act art. 3 nr. 47. For å besvare problemstillingen må det dermed tas utgangspunkt i en kontekstuell- og formålsorientert tolkning av bestemmelsen i sin helhet.

I AI Act art. 27 nr. 2 benyttes ordlyden «obligation» om den generelle plikten til å gjennomføre en forhåndsvurdering for første gangen det konkrete KI-systemet tas i bruk. Dette taler sterkt i retning av at vurderingene etter AI Act art. 27 nr. 1 bokstav a–f samlet er å anse som en forpliktelse. Dessuten brukes ordlyden «elements» i art. 27 nr. 2 om de ulike vurderingene i nr. 1 bokstav a–f. Ordlyden element forstås som en enkel komponent i en større helhet. Ordlyden omtaler altså hver enkeltstående vurdering i AI Act art. 27 nr. 1 bokstav a–f som en enkel komponent. Dette taler også for at de enkelte vurderingene samlet utgjør en forpliktelse.

Dersom det legges til grunn at de enkelte vurderingene i AI Act art. 27 nr. 1 bokstav a–f samlet utgjør en enkelt forpliktelse vil det derimot samsvare dårlig med formålet bak bestemmelsen. AI Act art. 27 nr. 4 formål er å effektivisere prosessen når den brukeren er forpliktet til å gjennomføre en forhåndsvurdering av fundamentale rettigheter, men allerede har gjennomført en vurdering av personvernkonsekvenser. Dette begrunnes i ordlyden «complement», og at brukeren ved forhåndsvurderingen da ikke behøver å gjenta den allerede oppfylte forpliktelsen.

Hvis en forhåndsvurdering av fundamentale rettigheter skal «complement» den allerede gjennomførte vurderingen av personvernkonsekvenser må det naturligvis være gjenværende forpliktelser i førstnevnte. Hvis det da legges til grunn at hver enkeltvurdering i AI Act art. 27 nr. 1 bokstav a–f samlet utgjør en enkelt forpliktelse vil det således ikke gjenstå ytterligere forpliktelser som må utføres etter bestemmelsen. Det vil da heller ikke være noe formål i å forsøke å effektivisere prosessen. Tolkningsalternavet vil altså medføre at AI Act art. 27 nr. 4 mister sin hensikt. Hvilket tolkningsalternativ som er korrekt, er ikke tydelig og problemstillingen har ikke et klarlagt svar. Problemstillingen behøver således rettslig avklaring i fremtiden.

Kan en DPIA oppfylle en «obligations» oppstilt i AI Act art. 27?

Da det nærmere innholdet i ordlyden «obligations» ikke er rettslig avklart vil begge tolkningsalternativene drøftes.

Tas det utgangspunkt i det første tolkningsalternativet blir problemstilling om en vurdering av momentene oppstilt i GDPR art. 35 nr. 7 bokstav a–d også vil behandle alle enkeltvurderingene som oppstilles i AI Act art. 27 nr. 1 bokstav a–f.

Til tross for fellestrekkene mellom vurderingene er det fundamentale ulikheter i deres rekkevidde. Selv om en vurdering av personvernkonsekvenser skal inneholde de planlagte tiltakene for å håndtere risikoene ved en behandling,(39)Se GDPR art. 35 nr. 7 bokstav d. vil dette ikke nødvendig overlappe med kravet om at en FRIA skal inneholde en beskrivelse av tiltakene som er tatt for å sørge for menneskelig tilsyn over KI-systemet.(40)Se AI Act art. 27 nr. 1 bokstav e. AI Act art. 27 nr. 1 bokstav f krever dessuten at tiltakene som skal gjennomføres dersom de aktuelle risikoene materialiserer seg skal beskrives, samt hvordan intern styring og klager skal håndteres. Dette er den behandlingsansvarlige ikke forpliktet til å inkludere i gjennomføringen av vurderingen av personvernkonsekvenser.

Den mest sentrale ulikheten i vurderingene er likevel omfanget av relevante rettigheter som skal inngå i vurderingen. En FRIA skal vurdere konsekvensene for alle potensielle berørte fundamentale rettigheter. Dette forstås som at alle rettighetene som fremkommer av EU-pakten vil være relevante i vurderingen. En vurdering av personvernkonsekvenser vil derimot hovedsakelig omhandle behandlingens potensielle konsekvenser for personvernet.

Dersom enkeltvurderingene oppstilt i AI Act art. 27 nr. 1 bokstav a–f samlet utgjør en enkelt forpliktelse vil en vurdering av personvernkonsekvenser ikke kunne oppfylle denne.

Den neste problemstillingen blir dermed om en vurdering av personvernkonsekvenser kan oppfylle en forpliktelse dersom enkeltvurderingene som oppstilles i AI Act art. 27 nr. 1 bokstav a–f utgjør separate forpliktelser.

Ordlyden anvendt i GDPR art. 35 nr. 7 bokstav a og AI Act art. 27 nr. 1 bokstav a inneholder store likheter. Av førstnevnte fremkommer det at en vurdering av personvernkonsekvenser blant annet skal inneholde en «[s]ystematic description of the envisaged processing operations and the purposes of the processing».(41)Se GDPR art. 35 nr. 7 bokstav a.Av sistnevnte fremkommer det at en FRIA skal inneholde «a description of the deployer´s processes in which the high-risk AI system will be used in line with its intended purpose».(42)Se AI Act art. 27 nr. 1 bokstav a. Begge vurderingene skal beskrive de planlagte behandlingene og dets formål. Det er dermed rimelig å legge til grunn at en vurdering av personvernkonsekvenser vil oppfylle kravet som oppstilles i AI Act art. 27 nr. 1 bokstav a.

En vurdering av personvernkonsekvenser kan således oppfylle en forpliktelse dersom enkeltvurderingene som oppstilles i AI Act art. 27 nr. 1 bokstav a–f utgjør separate forpliktelser.

Dersom enkeltvurderingene oppstilt i AI Act art. 27 nr. 1 bokstav a-f samlet utgjør en enkelt forpliktelse vil en vurdering av personvernkonsekvenser ikke kunne oppfylle denne.

7. Hvordan kan behandlings­ansvarlige som tar i bruk KI ved behandlinger av personopplysninger bistås?

Det er i artikkelen redegjort for hvilke ulike tekniske aspekter ved kunstig intelligens som kan utgjøre en høy risiko for fysiske personers rettigheter og friheter. Ved bruk av slike KI-systemer vil plikten til å vurdere personvernkonsekvenser inntre. Det vil likevel kunne være utfordrende for den behandlingsansvarlige å presist vurdere om vilkårene er oppfylt da det krever omfattende tekniske kunnskaper om det konkrete KI-systemets teknologiske evner. EU har sett problemstillingen og har derfor pålagt leverandører en informasjonsplikt ovenfor brukere.(43)Se bla. AI Act art. 13 og AI Act art. 26 nr. 9

Det er etter min mening likevel ikke tilstrekkelig med denne informasjonen for tilfellene hvor brukeren skal gjennomføre en behandling av personopplysninger. Jeg er her av den oppfatning at informasjonsplikten ikke gir tilstrekkelig veiledning for hvordan brukeren, som etter reglene i GDPR er den behandlingsansvarlige, skal vurdere hvorvidt bruken av KI-systemet kan medføre høy risiko for rettigheter og friheter. Dette kan derimot løses ved å lage veiledninger som har fokus på etterlevelse av bestemmelsen i begge forordningene.

Artikkelen har videre funnet at hvorvidt regelsettene i GDPR art. 35 og AI Act art. 27 er harmonisert beror på innholdet i ordlyden «obligations». Jeg er her av den oppfatning at hver enkeltvurdering opplistet i AI Act art. 27 nr. 1 bokstav a–f utgjør separate forpliktelser. Det legges avgjørende her avgjørende vekt på at dette tolkningsalternativet vil medføre bedre harmoni mellom regelsettene i GDPR art. 35 og AI Act art. 27. Problemstillingen burde likevel avklares av EU.

8. Kilder

EU-rett

Direktiver og forordninger

EUROPAPARLAMENTS- OG RÅDSFORORDNING (EU) 2016/679 av 27. april 2016 om vern av fysiske personer i forbindelse med behandling av Side 51 av 57 personopplysninger og om fri utveksling av slike opplysninger samt om oppheving av direktiv 95/46/EF (generell personvernforordning) [PVF, GDPR]

Veiledninger

Article 29 Data Protection Working Party. WP136, Opinion 4/2007 on the concept of personal data, Adopted 20 June 2007

Artikler

Bala, Nila. «THE DANGER OF FACIAL RECOGNITION IN OUR CHILDREN’S CLASSROOMS.» Duke Law and Technology Review, vol. 18, no. 1, 2019, s. 249-267.

De Gregorio, Giovanni, and Pietro Dunn. «THE EUROPEAN RISK-BASED APPROACHES: CONNECTING CONSTITUTIONAL DOTS IN Side 54 av 57 THE DIGITAL AGE.» Common Market Law Review, vol. 59, no. 2, 2022, s. 473–500.

Feuerriegel, Stefan, mfl. «Generative AI.» Business & Information Systems Engineering, vol. 66, no. 1, 2024, s. 111–12

Hauglid, Mathias Karlsen, and Tobias Mahler. «Doctor Chatbot: The EU’s Regulatory Prescription for Generative Medical AI.» Oslo Law Review, vol. 10, no. 1, 2023, s. 1–23.

Hauglid, Mathias K., and Karl Øyvind Mikalsen. «Tilgang Til Helseopplysninger i Maskinlæringsprosjekter.» Lov Og Rett, vol. 61, no. 7, 2022, s. 419–439.

Heikkilä, Melissa. «What Does GPT-3 ‘Know’ about Me?» MIT Technology Review.Com, 2022, p. MIT Technology Review.com, 2022-08-31.

Janiesch, Christian, mfl. Machine Learning and Deep Learning. Electronic Markets, vol. 31, no. 3, 2021, s. 685-695

McIntosh, Timothy R., et al. «A Culturally Sensitive Test to Evaluate Nuanced GPT Hallucination.» IEEE Transactions on Artificial Intelligence, 2023, s. 1–13.

Vokinger, Kerstin Noëlle, et al. «Lifecycle Regulation and Evaluation of Artificial Intelligence and Machine Learning-Based Medical Devices.» Cambridge University Press, 2022, s. 13–21.

Zemčík, Tomáš «Failure of Chatbot Tay Was Evil, Ugliness and Uselessness in Its Nature or Do We Judge It through Cognitive Shortcuts and Biases?» AI & Society, vol. 36, no. 1, 2021, s. 361–367

Internettadresser

The AI Act Explorer (Tilgjengelig her: https://artificialintelligenceact.eu/ai-act-explorer/) (sist endret 13. juni) (sist lest 30. november)

EU Artificial Intelligence Act, Implementation Timeline (Tilgjengelig her: https://artificialintelligenceact.eu/implementation-timeline/) (sist endret 1. August 2024) (sist lest 30. november 2024).

Noter

  1. De Gregorio og Dunn (2022) s. 489.
  2. The AI Act Explorer (Tilgjengelig her: https://artificialintelligenceact.eu/ai-act-explorer/) (sist endret 13. juni) (sist lest 30. november)
  3. EU Artificial Intelligence Act, Implementation Timeline (Tilgjengelig her: https://artificialintelligenceact.eu/implementation-timeline/) (sist endret 1. August 2024) (sist lest 30. november 2024).
  4. GDPR art. 35.
  5. AI Act art. 27.
  6. GDPR art. 4 nr. 7.
  7. AI Act art. 3 nr. 4.
  8. KI-systemer som skal gjennomføre kredittvurderinger.
  9. KI-systemer som skal gjennomføre risiko- og prisvurderinger ved livs- og helseforsikringer.
  10. GDPR art. 1 nr. 2.
  11. GDPR art. 35 nr. 7 bokstav b.
  12. Se GDPR art. 35 nr. 1.
  13. Se blant annet GDPR fortalepunkt 75 og 76.
  14. Se blant annet GDPR kapittel 2 og 3.
  15. Se GDPR art. 1 nr. 1.
  16. Se Feuerriegel mfl. (2024) s. 111.
  17. Se McIntosh mfl. (2023) s. 3.
  18. Se GDPR art. 5 nr. 1 bokstav d.
  19. Se Opinion 4/2007 on the Concept of Personal Data s. 6.
  20. Se Heikkilä (2022).
  21. Se McIntosh mfl. (2023) s. 3. Prosentandelen hallusinasjon ble redusert med 7 % i overgangen fra ChatGPT 3.5 til ChatGPT 4.
  22. Se Hauglid og Mahler (2023) s. 3. Bruk av generative KI til blant annet diagnostiserings- og beslutningsstøtte for helsepersonell.
  23. Bala (2019) s. 263.
  24. De Gregorio og Dunn (2022) s. 489.
  25. Se GDPR art. 5 nr. 1 bokstav b.
  26. Se Hauglid og Mikalsen (2022) s. 423.
  27. Vokinger mfl. (2022) s. 14.
  28. Ibid.
  29. Se Zemčík (2021) s. 362.
  30. Janiesch mfl. (2021) s. 688.
  31. Se GDPR art. 5 nr. 1 bokstav a.
  32. Se AI Act art. 27 nr. 2.
  33. Se De Gregorio og Dunn (2022) s. 489.
  34. Se GDPR art. 35 nr. 7 bokstav a–d.
  35. Se AI Act art. 27 nr. 1 bokstav a–f.
  36. Se AI Act art. 27 nr. 2.
  37. Se AI Act art. 27 nr. 3.
  38. Se AI Act art. 3 nr. 47.
  39. Se GDPR art. 35 nr. 7 bokstav d.
  40. Se AI Act art. 27 nr. 1 bokstav e.
  41. Se GDPR art. 35 nr. 7 bokstav a.
  42. Se AI Act art. 27 nr. 1 bokstav a.
  43. Se bla. AI Act art. 13 og AI Act art. 26 nr. 9
Torben Aronsen Manndal